I云应用安全技术规范CSA云安全联盟标准
CSAGCRC001—2022
云安全联盟大中华区 发布CloudApplicationSecurityTechnologySpecification
2022-03-09发布
II目 次
前言...................................................................................................................................................................III
1范围.....................................................................................................................................................................1
2规范性引用文件.................................................................................................................................................1
3术语和定义.........................................................................................................................................................1
4缩略语.................................................................................................................................................................2
5云应用安全技术或能力要求.............................................................................................................................2
5.1云应用架构设计要求.................................................................................................................................3
5.2应用运行环境安全要求.............................................................................................................................4
5.3云应用程序安全要求.................................................................................................................................5
5.4访问控制安全要求.....................................................................................................................................7
5.5租户级安全自助能力要求.........................................................................................................................9
5.6云应用实施/交付/服务安全要求...............................................................................................................9
5.7数据安全要求...........................................................................................................................................10
5.8安全管理能力要求...................................................................................................................................11
III前 言
本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本文件由云安全联盟大中华区归口。
本文件主要起草单位:北森云计算有限公司、公安部第三研究所、北京华为数字技术有限公司、中
国信息通信研究院、北京江南天安科技有限公司、北京金山云网络技术有限公司、北京奇虎科技有限公
司、北京神州数码云计算有限公司、北京数字认证股份有限公司、北京天融信网络安全技术有限公司、
广州赛宝认证中心服务有限公司、杭州安恒信息技术股份有限公司、杭州迪普科技股份有限公司、杭州
默安科技有限公司、江苏保旺达软件技术有限公司、启明星辰信息技术集团股份有限公司、融联易云金
融信息服务(北京)有限公司、上海安几科技有限公司、上海派拉软件股份有限公司、深信服科技股份
有限公司、深圳国家金融科技测评中心有限公司、深圳市联软科技股份有限公司、顺丰科技有限公司、
腾讯云计算(北京)有限责任公司、网宿科技股份有限公司、浙江大华技术股份有限公司、浙江瀛云科
技有限公司、中国电信股份有限公司研究院。
本文件主要起草人:李雨航、郭鹏程、陈妍、李强、罗斌、柴瑶琳、王冬冬、于丽芳、王玉常、陈
强、李向锋、王龑、刘克松、毛润华、仇俊杰、孟瑾、杜有为、杨天识、于跃、容晓琳、茆正华、雷若
琦、吴祖顺、侯俊、马超、王永霞、朱梦婷、尚玉红、王方军、姚凯、何国锋。
CSAGCRC001—2022
11范围
本文件确立云应用产品应该具备的安全相关的技术或能力要求。云应用包括但不限于SaaS云应用、
PaaS和IaaS云的应用程序部分。云应用提供服务的形式可以是web应用、移动APP、API接口等。
本文件为云应用厂商或甲方构建安全的云应用产品提供参考和指导,为云客户选择安全的云应用产
品提供参考和指南。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,标注日期的引用文
件,仅该日期所对应的版本适用于本文件;不标注日期的引用文件,其最新版本(包括所有的修改单)
适用于本文件。
GB/T25069-2010信息安全技术术语
GB/T35273-2020信息安全技术个人信息安全规范
GB/T22239-2019信息安全技术网络安全等级保护基本要求
CSA云计算安全技术要求SaaS安全技术要求
ISO/IEC27001信息安全管理
3术语和定义
3.1
云应用CloudApplication
是以云的形式提供服务的应用,包括但不限于SaaS云应用、PaaS和IaaS云的应用程序部分。云应用
提供服务的形式可以是web应用、移动APP、API接口等。
3.2
云应用厂商CloudApplicationProvider
是指为客户提供云应用及相关服务的厂商,又称云应用提供商。
3.3
云应用租户CloudApplicationTenant
是指云应用的购买方或使用方,可以是企业也可以是个人。
3.4
互操作性Interoperability
又称互用性,是指不同的计算机系统或应用程序一起工作并共享信息的能力。比较常见的实现互操
作性的方式是不同系统通过API接口进行集成和对接,以实现功能或数据的集成。
3.5
可移植性Portability
是指应用程序或数据在不同的平台、环境或服务商之间进行迁移的能力。
CSAGCRC001—2022
23.6
不可变基础设施ImmutableInfrastructure
是一种基础设施变更管理的方式,主要是指不直接对运行中的云主机或容器等基础设施实例执行任
何变更,而是统一基于标准镜像模板进行变更,再用变更以后的最新镜像创建新实例,然后用新实
例替换运行中的实例。利用不可变基础设施可以减少攻击面,同时最大限度的保障环境配置的一致
性。
4缩略语
下列缩略语适用于本文件。
APP Application 应用程序
API ApplicationProgrammingInterface 应用程序接口
SQL StructuredQueryLanguage 结构化查询语言
CI/CD ContinuousIntegration/ContinuousDelivery持续集成/持
CSA 云应用安全技术规范
文档预览
中文文档
14 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共14页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 SC 于 2023-02-24 10:20:30上传分享